13
Nov

Je hebt nagedacht over de manier waarop de data protection policy voor je eindklanten moet worden ingericht. Waar data vroeger meestal on-premise werd opgeslagen maken steeds meer bedrijven de transitie naar een cloud-first strategie. Office 365 is daarbij verreweg de meest gebruikte cloud oplossing. Maar, heb je een goed beeld van de juridische en technische risico’s van Office 365? Ons team deed onderzoek naar deze risico’s en in dit artikel lees je onze bevindingen en adviezen.

Met de komst van de AVG en de transitie naar de cloud is data management complexer geworden, vooral als het gaat om data protection. Niet alleen juridisch vormt Office 365 een risico, ook qua uptime en backup mogelijkheden brengt Office 365 de nodige uitdagingen. Vooral omdat het onduidelijk is wat de backup mogelijkheden van Office 365 zijn. Microsoft heeft een Office 365 Data Loss Policy. Dat gaat echter niet over dataverlies, zoals je zou denken, maar over het beschermen van data tegen datalekken. Dus AVG-compliance. Wie goed de Data Loss Policy doorneemt ziet dat er niets wordt gezegd over backups, recoveries, restores, etc.

Data protection, het juridische framework

SaaS-oplossingen zoals Office 365 verwerken de data van jouw klant. Microsoft heeft voor Office 365 natuurlijk een data protection policy en neemt maatregelen om data te beschermen. Toch zitten hier haken en ogen aan. Dit is wat je erover moet weten.

We bespreken niet alle wetgeving en laten de CLOUD Act ook buiten beschouwing. We kijken vooral naar het Europese framework. Houdt, bij het lezen van dit artikel, wel in het achterhoofd dat Microsoft recent de AVG heeft overtreden door data aan de Amerikaanse rechter bekend te maken. Dit om aan te geven dat ook een bedrijf als Microsoft geen absolute garanties kan bieden.

SaaS-oplossingen nemen standaard een clausule op in de Service Level Agreement waarin zij de verantwoordelijkheid voor de data van zich afschuiven. Daarmee zijn niet zij, maar jouw klanten verantwoordelijk voor wat er met hun data gebeurt. Zij zijn uiteindelijk de eigenaar.

Jouw klant draagt ook het bedrijfsrisico van dataverlies. Neem bijvoorbeeld de backup mogelijkheden van Office 365. Die lijken aanwezig en voldoende te zijn. Veel bedrijven vertrouwen erop dat als het misgaat, data recovery altijd mogelijk is. Dat is niet zo. Dit hebben we in een artikel verder toegelicht en uitgewerkt.

Uiteindelijk brengt dit ook risico’s voor jou. Mocht er iets gebeuren en jouw klant lijdt schade, zal hij jou eerst aankijken als het bedrijf dat verantwoordelijk was voor het inrichten van de omgeving, in dit geval Office 365.

Kortom, veel organisaties werken in de cloud en zijn zich er niet van bewust dat:

  • zij aansprakelijk zijn voor eventuele datalekken;
  • de backup-mogelijkheden van cloud diensten vaak beperkt zijn.

Databescherming, technisch voldoende gewaarborgd?

Nee! Bij de ontwikkeling van SaaS oplossingen wordt er in veel gevallen nagedacht over de beveiliging. Dit betekent dat ze voor zichzelf voldoende maatregelen nemen om het platform veilig te houden, zodat ze bijvoorbeeld niet gehackt worden.

Dit betekent echter niet dat het account van jouw klant niet gehackt kan worden. Daarvoor zijn doorgaans slechts basale maatregelen genomen. SaaS-oplossingen stellen hun gebruikers vaak zelf verantwoordelijk.

Uit een onderzoek van 451 Research blijkt hoe organisaties omgaan met databescherming:

  • 49% Vertrouwt op de databescherming, backup en recovery-mogelijkheden van de SaaS aanbieder zelf;
  • 25% Stelt hun SaaS-applicaties niet te backuppen;
  • 11% Kopieert de data naar eigen on-premise datacenters;
  • 11% Gebruiken een cloud-to-cloud backup provider;
  • 3% Kopieert data handmatig naar een andere cloud-oplossing.

Dit betekent dat 74% niet voldoende databeschermingswaarborgen heeft voor calamiteiten. De rest gaat er omslachtig en tijdrovend mee om. Maar weinig organisaties nemen extra maatregelen om data beter te beschermen. Er is onvoldoende besef dat organisaties zelf verantwoordelijk zijn. Hier kun jij een verschil maken voor jouw klant.

Office 365 heeft backup-opties als versioning, het recycle bin proces, etc. Zoals we in dit artikel uitleggen zijn deze opties niet een backup zoals je verwacht. Deze opties zijn vooral voor Microsoft zelf ontwikkeld in het geval van calamiteiten. Er kan alleen een compleet herstel worden uitgevoerd en bijvoorbeeld geen brick-level restore.

Als er iets misgaat, is jouw klant de dupe. Het is daarom beter om een flexibele backup-oplossing te implementeren, zoals Veeam voor Office 365. Dit biedt compliance met wetgeving en geeft flexibele backup-mogelijkheden.

Conclusie

Jouw klant is eindverantwoordelijke als data gestolen of misbruikt wordt. De databescherming van SaaS-oplossingen is niet toereikend omdat de beveiligingsmaatregelen die de ontwikkelaars van SaaS oplossingen implementeren op (de beschikbaarheid) van het platform zijn gericht.

In 2018 werden alleen al 20.881 datalekken gemeld. Nederland is zelfs koploper met het melden van datalekken in Europa. De verwachting is dat er vanaf 2020 zeker boetes uitgedeeld gaan worden. Office 365 is wel beter beveiligd dan het gros van de SaaS oplossingen, maar qua backup is Office 365 niet voldoende gewaarborgd. Daarom heb je een backup oplossing nodig die ook voldoende waarborgen biedt tegen datalekken.

Met cloud based backup oplossingen zoals Veeam sla je twee vliegen in één klap. Jouw klant wordt op twee fronten gecoverd. Dataverlies is niet meer aan de orde, omdat data altijd, op file-level, kan worden hersteld. Daarnaast zijn technisch voldoende waarborgen genomen om te voldoen aan de AVG.

Op die manier maak je jouw klanten data protection proof in de volledige zin van het woord.

Geplaatst door Marketing op 13 November 2019